概要:Flax Typhoonによる巧妙な攻撃
中国を背景に持つ高度な持続的脅威(APT)グループ「Flax Typhoon」が、信頼されたソフトウェアを永続的なバックドアに変えることで、ArcGISシステムへの1年間にわたるアクセスを維持していたことが明らかになりました。このユニークな攻撃手法は、ベンダーが公式ドキュメントを更新する事態にまで発展しました。
攻撃者は、正規のJavaサーバーオブジェクト拡張機能をウェブシェルとして悪用し、ハードコードされたキーでアクセスを制限。さらに、検出を回避するためにバックアップに埋め込むという手口を用いていました。ArcGISは相互接続されたシステムへのアクセスを目的として標的とされましたが、バックエンドアクセスを持つあらゆる公開アプリケーションが同様のリスクに晒されています。組織は、侵害の痕跡(IoC)に基づく検出を超え、公開アプリケーションを高リスク資産として扱う必要があります。
永続化メカニズムの詳細
Flax Typhoonは1年以上にわたり、攻撃者が自身のツールを必要とせず、既存のツールを武器化できることを示しました。このグループは、地理情報アプリケーションのJavaサーバーオブジェクト拡張機能を機能するウェブシェルに改変し、システム全体の復旧後も存続できる永続性を実現しました。ハードコードされたキーでアクセスを制限し、コンポーネントをシステムバックアップに埋め込むことで、修復後もその足がかりを維持しました。このバックドアは、手動での操作を可能にし、複数のホストにわたるコマンド実行、ラテラルムーブメント、資格情報の窃取を容易にしました。
- 攻撃は、正規のソフトウェアコンポーネントに置かれた固有の信頼を悪用しました。既知の悪意あるツールを展開する代わりに、攻撃者は正規のサーバーオブジェクト拡張機能を隠れたウェブシェルに転用し、動きが通常の操作に見えるようにすることで、既知の悪意あるアーティファクトに焦点を当てた検出ツールを回避しました。
- 同じウェブシェルを繰り返し悪用し、追加のエンコードされたPowerShellコマンドを実行しました。これらはすべて、同じ「JavaSimpleRESTSOE」拡張機能と「getLayerCountByType」操作を介してルーティングされました。GETリクエストは、サーバーに新しいディレクトリを作成するよう指示していました。
- ハードコードされたキーを追加することで、Flax Typhoonは他者によるアクセス改ざんを防ぎ、セキュリティの考え方を「ファイルが悪意あるかどうか」から「アプリケーションが期待通りに動作しているか」へと転換させました。
- 永続化の手法は特に陰湿でした。侵害されたコンポーネントがバックアップに含まれるようにすることで、彼らは復旧計画を確実な再感染方法に変えました。これにより、セーフティネットが負債となり、インシデント対応チームはバックアップを潜在的な再感染経路として扱う必要があります。
ArcGIS:重要インフラへのゲートウェイ
ArcGISは、災害復旧、都市計画、緊急管理などの重要な機能のために空間データを視覚化、分析、管理するために使用される地理情報システムです。ArcGISとの連携において、攻撃者はポータル管理者アカウントを侵害し、悪意あるSOEを展開しました。単一の侵害は、運用を妨害し、機密性の高いインフラデータを露呈させ、相互接続されたエンタープライズおよび運用技術ネットワークへのラテラルムーブメントのゲートウェイを提供する可能性があります。
ArcGISのような特殊なアプリケーションは厳重な監視を免れるかもしれませんが、悪用された脆弱性は、組織が安全と考えるあらゆる公開アプリケーションに存在します。運用環境に同等の厳格さが欠けている場合、安全な製品も脆弱になる可能性があります。ベンダーのガイダンスはベースラインとして扱われるべきであり、包括的な戦略ではありません。組織は、あらゆる機能が脆弱性になり得ると仮定して、アプリケーションを強化する必要があります。
Flax Typhoonの戦術的特徴
セキュリティ研究者は、この攻撃を中国のAPTに高い確信度で、また「Ethereal Panda」としても知られるFlax Typhoonに中程度の確信度で帰属させました。このグループは、SoftEther VPNを使用してVPNブリッジを作成し、しばしば12ヶ月を超える永続的なアクセスを維持します。Flax Typhoonは、永続性、ラテラルムーブメント、資格情報の窃取を優先し、通常、公開サーバーの悪用、ウェブシェルの展開、VPN接続の確立によって初期アクセスを獲得します。活動は中国の営業時間と一致し、攻撃対象セクターは以前のパターンと合致しています。少なくとも2021年から活動しており、Flax Typhoonは精密な攻撃を実行する前に、計画のために長い休眠期間を設けます。このグループは一貫して重要インフラに焦点を当てており、この帰属は重要です。専門家はFlax Typhoonが新しいネットワークで活動しているか、次の標的を計画している可能性が高いと評価しているため、組織は予防を超えて、侵害の兆候を積極的に探索する必要があります。この攻撃は、信頼されたアプリケーションに関する仮定を問い直し、正規のツールが悪用された際に検出する行動監視を実装する必要性を強調しています。
侵害の痕跡(IOCs)
- C2 IP (SoftEther VPN Server): 172.86.117[.]230
- Renamed SoftEther VPN Bridge: bridge.exe
- SoftEther VPN Config File: vpn_bridge.config
- SoftEther Installation File: hamcore.se2
- File hash of bridge.exe: 4f9d9a6cba88832fcb7cfb845472b63ff15cb9b417f4f02cb8086552c19ceffc
- File hash of vpn_bridge.config: 8282c5a177790422769b58b60704957286edb63a53a49a8f95cfa1accf53c861
- File hash of hamcore.se2: 84959fe39d655a9426b58b4d8c5ec1e038af932461ca85916d7adeed299de1b3
- File hash of simplerestsoe.soe: cec625f70d2816c85b1c6b3b449e4a84a5da432b75a99e9efa9acd6b9870b336